Hal.と申します。
CentOS7.9にて公開サーバを運用中ですが、本日ルータ(NTT PR-S300HI)を視認すると、ACTランプUNIランプが強烈に点滅しっぱなしの状況で、止まりません。
/var/log/messages
を確認すると、下記のようなログが、とてつもない量で記録され続けています。
Jan 30 20:09:01 example smbd[8612]: [2021/01/30 20:09:01.293923, 0] ../../lib/util/access.c:365(allow_access) Jan 30 20:09:01 example smbd[8612]: Denied connection from 112.135.201.145 (112.135.201.145) Jan 30 20:09:01 example smbd[8616]: [2021/01/30 20:09:01.881299, 0] ../../lib/util/access.c:365(allow_access) Jan 30 20:09:01 example smbd[8616]: Denied connection from 112.135.201.145 (112.135.201.145) Jan 30 20:09:01 example smbd[8618]: [2021/01/30 20:09:01.935467, 0] ../../lib/util/access.c:365(allow_access) Jan 30 20:09:01 example smbd[8618]: Denied connection from 112.135.201.145 (112.135.201.145) Jan 30 20:09:02 example smbd[8622]: [2021/01/30 20:09:02.472110, 0] ../../lib/util/access.c:365(allow_access) Jan 30 20:09:02 example smbd[8622]: Denied connection from 112.135.201.145 (112.135.201.145) Jan 30 20:09:02 example smbd[8624]: [2021/01/30 20:09:02.569224, 0] ../../lib/util/access.c:365(allow_access) Jan 30 20:09:02 example smbd[8624]: Denied connection from 112.135.201.145 (112.135.201.145) Jan 30 20:09:03 example smbd[8625]: [2021/01/30 20:09:03.065428, 0] ../../lib/util/access.c:365(allow_access) Jan 30 20:09:03 example smbd[8625]: Denied connection from 112.135.201.145 (112.135.201.145) Jan 30 20:09:03 example smbd[8627]: [2021/01/30 20:09:03.738932, 0] ../../lib/util/access.c:365(allow_access) Jan 30 20:09:03 example smbd[8627]: Denied connection from 112.135.201.145 (112.135.201.145) Jan 30 20:09:04 example smbd[8631]: [2021/01/30 20:09:04.307177, 0] ../../lib/util/access.c:365(allow_access) Jan 30 20:09:04 example smbd[8631]: Denied connection from 112.135.201.145 (112.135.201.145) Jan 30 20:09:04 example smbd[8633]: [2021/01/30 20:09:04.912857, 0] ../../lib/util/access.c:365(allow_access) Jan 30 20:09:04 example smbd[8633]: Denied connection from 112.135.201.145 (112.135.201.145) Jan 30 20:09:05 example smbd[8637]: [2021/01/30 20:09:05.478391, 0] ../../lib/util/access.c:365(allow_access) Jan 30 20:09:05 example smbd[8637]: Denied connection from 112.135.201.145 (112.135.201.145) Jan 30 20:09:06 example smbd[8641]: [2021/01/30 20:09:06.049048, 0] ../../lib/util/access.c:365(allow_access) Jan 30 20:09:06 example smbd[8641]: Denied connection from 112.135.201.145 (112.135.201.145) Jan 30 20:09:06 example smbd[8642]: [2021/01/30 20:09:06.141621, 0] ../../lib/util/access.c:365(allow_access) Jan 30 20:09:06 example smbd[8642]: Denied connection from 112.135.201.145 (112.135.201.145)
これはsambaに対するアタックなのでしょうか?
ちなみにsambaは192.168.のローカルネットワークの1ユーザにしか解放しておらず、
/etc/samba/smb.conf
は下記の通りです。
# Samba config file created using SWAT # 2020/12/25 for Cent7 [global] # workgroup = SAMBA workgroup = WORKGROUP server string = Samba Server Version %v hosts allow = 127.0. 192.168.0. hosts deny = 112.135. log level = 1 log file = /var/log/samba/log.%m max log size = 1024 security = user dos charset = CP932 unix charset = UTF-8 passdb backend = tdbsam printing = cups printcap name = cups load printers = no cups options = raw # name resolve order = wins admin users = sysmashoge, root, @wheel write list = sysmashoge,root,@wheel,@root store dos attributes = Yes force group = wheel netbios name = EXAMPLE_2021 map archive = no writeable = yes delete readonly = yes default = root disable spoolss = yes load printers = no # smb passwd file = /etc/samba/smbpasswd # guest account = root # smb ports = 139 # username map = /etc/samba/user.map domain master = Yes hide dot files = no public = yes keepalive = 60 ea support = Yes # case sensitive = yes # wins support = true # dos filetime resolution = Yes netbios aliases = EXAMPLE_2021 server string = mail.EXAMPLE.com path = / # logon path = \%L\profiles\%U force user = root comment = EXAMPLE_2021_Root valid users = sysmashoge,root # wide links = yes unix extensions = no [homes] comment = Home Directories valid users = %S, %D%w%S browseable = No read only = No inherit acls = Yes [printers] comment = All Printers path = /var/tmp printable = Yes create mask = 0600 browseable = No [print$] comment = Printer Drivers path = /var/lib/samba/drivers write list = @printadmin root force group = @printadmin create mask = 0664 directory mask = 0775 [root] comment = for sysmashoge only valid users = root, sysmashoge, @wheel hosts allow = 192.168.0. [sysmashoge] comment = for sysmashoge only valid users = root, sysmashoge, @wheel hosts allow = 192.168.0.
/var/のHDD容量は十二分に確保してあるので、仮に、数十GB程度のログとなったとしても、DiskFullになるような状況では無いのですが、インターネット回線帯域をアタックで占有されてしまっているような状況で、ローカルネット内からのインターネットへのアクセス速度が遅く感じます。
本件、何らかの対処法があれば、ご教示戴きたくお願いいたします。
---
2021/01/31/ AM0:12追記。
tanatさま、早速のコメントありがとうございました_(__)_
>ルータの機能で止める(と言うよりは、公開に必要なポートのみ開ける)のがベストです。
はい、ルータでも止めている「つもり」ではいるのですが、ここがNGポイントなのでしょうか?
下記が現状ルータ側のiPV4セキュリティ設定です。
ルールNo.25,34は暫定的に今現時点で酷いアタックのIPに関して追記した物です。
---
2021/01/31/ AM11:05追記。
tanatさま、再度のコメントありがとうございました_(__)_
AM0:12追記後、一旦/var/log/配下の不要ログをクリーニングし、リブートさせておきました。
で今ほど確認するとsambaに対するアタックログは収束したようなのですが、今度はdns(bind-chroot)
にアタックをかけてきている模様で・・・
/var/log/messages
を確認すると、本日1/31は下記のようなログが、とてつもない量で記録され続けています。
Jan 31 10:50:20 example named[1619]: client @0x7fa608106000 71.8.61.80#3673 (.): view globalnet: query (cache) './ANY/IN' denied Jan 31 10:50:26 example named[1619]: client @0x7fa608106000 71.8.61.80#4639 (.): view globalnet: query (cache) './ANY/IN' denied Jan 31 10:50:26 example named[1619]: client @0x7fa6080e93a0 71.8.61.80#4639 (.): view globalnet: query (cache) './ANY/IN' denied Jan 31 10:50:26 example named[1619]: client @0x7fa608106000 71.8.61.80#4639 (.): view globalnet: query (cache) './ANY/IN' denied Jan 31 10:50:26 example named[1619]: client @0x7fa6080f79d0 71.8.61.80#4639 (.): view globalnet: query (cache) './ANY/IN' denied Jan 31 10:50:26 example named[1619]: client @0x7fa6080e93a0 71.8.61.80#4639 (.): view globalnet: query (cache) './ANY/IN' denied Jan 31 10:50:28 example named[1619]: client @0x7fa608106000 80.93.127.188#1360 (.): view globalnet: query (cache) './ANY/IN' denied Jan 31 10:50:28 example named[1619]: client @0x7fa6080f79d0 80.93.127.188#1360 (.): view globalnet: query (cache) './ANY/IN' denied Jan 31 10:50:28 example named[1619]: client @0x7fa608106000 80.93.127.188#1360 (.): view globalnet: query (cache) './ANY/IN' denied Jan 31 10:50:28 example named[1619]: client @0x7fa6080e93a0 80.93.127.188#1360 (.): view globalnet: query (cache) './ANY/IN' denied Jan 31 10:50:28 example named[1619]: client @0x7fa6080f79d0 80.93.127.188#1360 (.): view globalnet: query (cache) './ANY/IN' denied
このようなアタックはどうしようも無いものなのでしょうか?
以前に現在固定IP1で接続している某プロバイダ側に尋ねたところ「通信の秘密」を理由に、全世界どこからのパケットでも(例えアタックでも)フィルタリングせず、そのままフォワードしているとのことで、プロバイダ側での対策は出来ないとの事でした。
回答1件
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2021/01/30 15:19
2021/01/30 15:56 編集
2021/01/31 02:09
2021/01/31 02:55
2021/02/03 08:05